Integração SIEM

Envie eventos de segurança para Splunk HEC ou qualquer endpoint HTTP personalizado.

Envie eventos de segurança em tempo real para seu SIEM para monitoramento centralizado e conformidade.

Integrações Suportadas

Plataforma	Método
Splunk	Coletor de Eventos HTTP (HEC)
HTTP Personalizado	Qualquer endpoint HTTP/HTTPS

Configuração

Vá para Configuração Externa (External Config) no dashboard.
O cartão SIEM mostra qual domínio você está configurando.
Habilite Integração SIEM (SIEM Integration).
Selecione seu Tipo de SIEM (Splunk HEC ou Endpoint HTTP Personalizado).
Configure as definições do endpoint (veja abaixo).
Salve a configuração.

Configuração Splunk HEC

Campo	Descrição
URL HEC	Seu endpoint Splunk HEC (ex: `https://splunk.example.com:8088/services/collector`)
Token HEC	Token de autenticação para HEC
Índice	Índice Splunk alvo (padrão: `main`)

Configuração de Endpoint HTTP Personalizado

Para sistemas SIEM não-Splunk ou integrações personalizadas:

Campo	Descrição	Padrão
URL do Endpoint	URL HTTP/HTTPS alvo para enviar eventos	-
Método HTTP	POST, PUT, ou PATCH	POST
Cabeçalhos Personalizados	Objeto JSON de cabeçalhos HTTP (ex: para autenticação)	`{"Content-Type": "application/json"}`
Timeout	Tempo limite da requisição em segundos	10
Verificar SSL	Se deve validar certificados SSL	Habilitado
Incluir Metadados	Envolver eventos com campos source/sourcetype/index	Habilitado

Formato de Payload HTTP Personalizado

Quando Incluir Metadados está habilitado, eventos são enviados como:

{
  "event": {
    "type": "tool_call",
    "timestamp": "2026-01-19T10:30:00.000Z",
    "session_id": "abc-123",
    "tool_name": "filesystem.read_file",
    "parameters": { "path": "/etc/config" },
    "status": "ok",
    "duration_ms": 45.2
  },
  "source": "edison-watch",
  "sourcetype": "cef",
  "index": "main"
}

Quando Incluir Metadados está desabilitado, apenas o objeto de evento bruto é enviado.

Modos de Envio

Modo	Descrição
Tudo (All)	Envia todas as chamadas de ferramentas e eventos de segurança
Apenas Segurança (Security Only)	Envia apenas eventos relacionados à segurança (bloqueios, mudanças de status, bandeiras da tríade letal)

Tipos de Eventos

O Edison Watch envia atividades por sessão:

Chamadas de Ferramenta: Metadados para cada ação (timestamp, usuário, nome da ferramenta, duração).
Eventos de Segurança: Mudanças de bandeira (Tríade) e violações de ACL.
Aprovações: Registros de auditoria de decisões humano-no-loop.
Ações de Admin: Mudanças de configuração e atualizações de função de usuário.

Formato Comum de Evento (CEF)

Eventos Splunk HEC são enviados como strings CEF (Common Event Format):

CEF:0|Edison Watch|Edison Watch|1.0|tool_call|Tool Call|5|[email protected] act=filesystem.read_file outcome=success

Desempenho e Confiabilidade

Assíncrono: Eventos são enviados em uma tarefa do tipo "disparar e esquecer" para que o envio ao SIEM não fique no caminho crítico da execução da ferramenta.
Melhor esforço: Se o endpoint SIEM estiver inalcançável ou mal configurado, eventos podem ser descartados (o Edison Watch registra o erro).

Precisa de ajuda para configurar a integração SIEM? Envie um email para [email protected].

Integração SIEM

On this page